开放API 防止恶意调用纪实

最新推荐文章于 2025-07-09 10:32:22 发布
最新推荐文章于 2025-07-09 10:32:22 发布
阅读量727 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java SpringBoot 文章标签: 开放API 防止恶意调用 恶意访问 恶意调用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingfeian/article/details/92834783

开放API 防止恶意调用纪实

简介:我们公司网站属于知识产权+电商性质的平台,平时用户量并不是特别大。一开始我们并没有做太多的网站安全验证工作,只是简单的实现了IP黑白名单的控制。
2019年04月份开始,系统监控数据显示,平台有几个API被高频率恶意调用。刚开始发现是我们采取的应对措施是:将该请求IP加入到黑名单,禁止该用户继续访问我们的系统。半天之后我们发现用户更换了一个ip又继续刷。很明显,黑白名单对这类专业玩家是没有作用的,于是一段持久的攻防战拉开序幕。

第一次升级

升级内容

  1. 通过js对请求参数进行md5摘要,防止参数被篡改。
  2. 限制每个ip的访问次数,当一个ip访问次数等于N的倍数时,要求客户属于验证码。
  3. 提供随机字母+数字的验证码

取得效果
在升级后的第三天,我们发现系统又被恶意攻击了,对方通过伪IP的方式,躲避验证码的限制,继续风控的访问我们的系统。

第二次升级

升级内容

  1. 每自然小时访问次数超过k次时,继续调用,每次都要求属于验证码,当天总访问量超过M次时,每次访问都要求属于验证码。
  2. 请求头判断refer属性是否满足要求,如果不满足直接返回一个mock的值给调用方。

取得效果
升级后的第5天,那个可恶的家伙又来了,这一次对方已经破解了我们使用的随机字母+数据验证码,又一次期无忌惮的疯狂的调用我们的API。

第三次升级

升级内容

  1. 验证由随机字母+随机的方式,升级问简单数学问题,两个数据的随机加减

取得效果
这一次升级后一周的时间

最低0.47元/天 解锁文章

200万优质内容无限畅学
防止API恶意调用,一般有哪些方法?
墨痕诉清风的博客
10-26 2231
1. 图片验证码 2. 限制请求次数 3. 流程条件限制 4. 归属地是否一致 5. 服务器接口验证 6. 采用https 7. 服务端代理请求
接口防止恶意调用的安全策略
qq_24516549的博客
03-29 2661
1.背景 需要做一个微信分享的后端支持接口,请求响应中包含appid,为了避免对外暴露配置相应的安全策略 2.步骤 限制请求域名 在后端cors过滤器中添加指定的域名作为allowedOrigins的值,非此域名无法访问接口\ @Configuration public class CorsConfig implements WebMvcConfigurer { @Override ...
如何防止API接口恶意调用
靖节先生的博客
02-18 7317
如何防止API接口恶意调用1. 客户端防护2. 传输层防护3. 服务端防护4. 安全鉴权案例4.1 微盟开放平台4.2 微信开放平台 1. 客户端防护 1.客户端双向认证。在app中预置证书(跨平台也是一致的方案),要求更高的话使用专用的证书设备,线下签发,例如银行的U盾。 2.客户端双反hook,反调试,防逆向。 3.客户端运行环境校验,通过读取硬件信息识别pc还是移动设备以及设备MAC相关信息。 2. 传输层防护 1.传输协议防护,首先接口建议使用 HTTPS 协议,这样至少会给破解者在抓包的时候提高
防止API恶意调用
qq_42888874的博客
12-18 2500
一、身份鉴定。这个可以使用Oauth2.0规范,或者带有不对称密钥加密的token,选择JWT等形式,配合身份鉴定系统来保证。 二、内容防篡改。可以使用数字签名算法来进行哈希校验,强制HTTPS通信。最新的系统可以考虑http/2。 三、 DDoS 攻击。通过设置防火墙, 控制API调用频. 率,例如协议的rate- -limit 等设置来进行沟通和控制。 四、注入攻击。这个需要从输入校验、编解码、输入过滤和转化方面着手,主流框架都有基本的防注入设计。 五、同源策略。通过正确的配置CORS来防止异常调用,但
vaptcha手势验证码轨迹手动提取方案
最新发布
九月镇灵将的博客
07-09 1861
vaptcha 的手势验证码原图是乱序的,实际图片需要逆向破解得到切片顺序拿到,这里只分享轨迹手动提取方案,有能力的可以使用yolo姿态训练模型破解。
如何防止公开接口恶意调用
weixin_33738555的博客
07-06 2632
今年组长给了几个任务,其中有两个是关于对外接口的安全控制: 前端验证组件 利用浏览器Js加密的技术访问接口防止恶意用户越过浏览器直接访问我们的接口。 人机识别 在接口端再做一层检测,区分调用者来自普通用户还是工具模拟,进一步防止恶意接口的行为。 主要研究的方向在于如何提取用户行为,因为工具模拟是没有一般的用户行为的。 可能的实现方...
防止别人恶意调用API接口
zds448588952的博客
10-20 2576
大公司的网络安全比下面复杂的多 1、 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2、频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3、归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4、可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5、黑名单,对于黑名单用户,限制其操作,API...
如何防止接口恶意请求?添加时间戳检验?
NoviceZ的博客
08-01 1127
Autowired@Autowired@Autowired@Overridethrow new UserException(ReturnCode.PARAMETERS_ERROR, "缺少session");//获取方法中的注解,看是否有该注解= null){//从redis中获取用户访问的次数// 有可能ip是代理的//第一次访问//加1}else{//超出访问次数。
C#调用腾讯AI开放平台API接口文本翻译
10-30
接下来,定义一个函数来封装调用API的过程。这里我们假设已经将API密钥存储在安全的位置,然后创建一个HttpClient对象来发送HTTP请求。注意,为了安全起见,不要在代码中硬编码API密钥,而应该从配置文件或环境变量...
C# WEBAPI 及winform调用
02-03
webapi 项目平台,包含接口生成,及接口调用方法,项目代码清晰明了,非常值得初学者参考借鉴,更具体的开发步骤可以登入我的博客查看:http://www.cnblogs.com/gudaozi/p/8384734.html
通过抽象API调用序列中的频繁项集来分析恶意软件
03-10
本研究通过抽象Windows应用程序编程接口API调用序列中的频繁项集来分析恶意软件的行为。研究假设由API名称和/或API参数组成的频繁项集在识别恶意软件行为方面具有价值。 为了验证这个假设,研究者们引入了基于...
防止恶意LKM修改Linux系统调用的方法研究.pdf
09-06
防止恶意LKM修改Linux系统调用的方法研究 本文研究的主要目的是防止恶意LKM(Loaded Kernel Module)修改Linux系统调用,以确保Linux操作系统的安全。恶意LKM可以修改Linux系统调用,从而改变Linux操作系统的行为。...
PB调用http api接口 PB解析json
10-16
PB调用HTTP API接口是PowerBuilder(PB)应用程序与远程服务交互的一种常见方式,这使得PB应用能够利用Web服务或RESTful API获取和传递数据。在这个过程中,PB不仅需要发送HTTP请求,还需要处理响应,尤其是当响应...
怎么防止接口恶意地多次请求
weixin_68750962的博客
02-16 4676
这是因为服务器在处理大量请求时,需要消耗更多的CPU和内存资源,而频繁的拒绝请求会导致服务器花费更多的时间和资源在处理这些请求上,从而影响正常的请求处理。当服务器接收到请求时,会根据请求中的相关信息(例如请求的URL、请求的参数、请求的头部信息等)进行一系列处理,最终返回一个响应。此外,还可以考虑采用负载均衡技术,将请求分散到多台服务器上处理,以分摊服务器的负载。请求方法不支持:当客户端使用不被服务器支持的请求方法(比如使用POST请求访问只允许GET请求的接口)时,服务器可以拒绝请求,返回405状态码。
如何防止别人恶意调用API接口
热门推荐
初见-子非鱼
11-28 3万+
1 / 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回su
如何保证API不被别人恶意调用(彩蛋)
猿码优创
08-22 7337
这两天比较悠闲,有很多时间可以用来写文章。扯扯淡,哈哈哈今天给大家分享一个纯业务的的东西,也会有代码辅助,但是不多。看名字是不是都觉得很屌哈哈哈哈哈哈哈。 博主是一个标题党。 先给你们上一张小编自己画的图吧。我不知道大家写APi的时候有没有这样的疑惑。。 就是api频繁被恶意调用,有没有这种的,我擦我新写的接口又被爬去了,竟然拼接了参数来不断请求。哎。。。。。 来听小编发生在自己身上...
如何防止别人恶意攻击调用API接口
resilient的博客
09-27 1万+
1 / 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解 2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长 3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地 4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份 5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回su...
前后端数据对接防止接口恶意调用
偶尔一节
04-19 2万+
最近做了个不大点的微信活动,上线之后,出现了无穷尽的微信刷子,这些刷子的openid都不一样,昵称也格式相似,通过记录IP发现,IP都是相同的,一个IP有上千个微信用户,我很是费解,不知道现在是不是有什么黑科技可以伪造这点了;我先说下我的流程 1,用户授权,session记录用户openid 2,用户参加活动,完成活动一系列指定操作,完成活动,将用户信息录入数据库 3,用户完成活动,分享朋友
拼多多开放平台API封装 PHP类库轻松调用
开发者可以像调用普通PHP方法一样来调用API接口,而无需深入了解API的底层实现细节和HTTP通信的复杂性。 2. 无需记忆函数名和参数:封装后的类库通常会提供清晰的API文档,文档中会详细列出可用的方法和相应的参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值